Para quem não sabe o Elementor, é um popular construtor de paginas que funciona como um plugin do sistema WordPress, mas ao mesmo tempo ele pode expor seus usuário a uma falha de segurança, onde permite que os indivíduos mal-intencionados obtenham acesso a privilégios e até mesmo ao controle completo do site. Pesquisadores da solução de segurança Patchstack, denunciaram a falha.
O Elementor é considerada uma das das plataformas líderes na construção de sites dentro do ecossistema WordPress, pois possibilita a criação de páginas complexas sem codificação, utilizando modelos já prontos ou do zero e somente arrastando e soltando conteúdos. A velocidade das alterações, visíveis em tempo real, levaram a ferramenta a mais de um milhão de usuários ativos.
Segundo a W3Techs, empresa de pesquisa em tecnologia, atualmente mais de 43% de todos os sites na internet utilizam o WordPress. Mais de 12 milhões deles, diz o Blog do Elementor, utilizam o construtor de páginas. Isso corresponde a 8% do tráfego global de sites, de acordo com a W3Techs.
Qual é a vulnerabilidade?
Segundo a explicação da Patchstack, a vulnerabilidade ocorre na função redefinição de senha que “não valida uma chave de redefinição de senha, mas, em vez disso, altera diretamente a senha do usuário fornecido”, o que inclui a conta do administrador. Isso significa deixar o site todo exposto, inclusive o back-end, e, se um site de destino armazena informações do usuário, um provável hacker “também teria acesso e controle disso”.
Naturalmente, assim que a Equipe Vermelha do Patchstack detectou a vulnerabilidade, ela foi imediatamente corrigida e todos os usuários do Essential Addons for Elementor chamados para atualizar para a versão 5.7.2 já disponível.
Como todas as versões anteriores do plug-in, desde a 5.4.0, foram afetadas pela falha, a recomendação é: atualize seu plug-in o mais rápido que puder.